Konfigurieren von Georeplikation und Sicherungswiederherstellung für transparente Datenverschlüsselung mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Gilt für:Azure SQL-Datenbank

Hinweis

TDE CMK auf Datenbankebene ist für Azure SQL-Datenbank (alle SQL-Datenbank-Editionen) verfügbar. Sie ist nicht für Azure SQL Managed Instance, lokale SQL Server-Instanzen, Azure-VMs und Azure Synapse Analytics (dedizierte SQL-Pools, früher SQL DW) verfügbar.

In diesem Leitfaden werden die Schritte zum Konfigurieren von Georeplikation und Sicherungswiederherstellung für eine Azure SQL-Datenbank-Instanz beschrieben. Die Azure SQL-Datenbank-Instanz wird mit transparenter Datenverschlüsselung (Transparent Data Encryption, TDE) und kundenseitig verwalteten Schlüsseln (Customer-Managed Keys, CMK) auf Datenbankebene konfiguriert, wobei eine benutzerseitig zugewiesene verwaltete Identität für den Zugriff auf Azure Key Vault verwendet wird. Sowohl der Azure Key Vault als auch der logische Server für Azure SQL befinden sich in diesem Leitfaden im selben Microsoft Entra-Mandanten, können sich aber auch in unterschiedlichen Mandanten befinden.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

• Konfigurierte Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene. Dies ist die Quelldatenbank für diese Vorgänge. Weitere Informationen finden Sie unter Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) mit kundenseitig verwalteten Schlüsseln auf Datenbankebene.

Hinweis

Derselbe Leitfaden kann angewendet werden, um kundenseitig verwaltete Schlüssel auf Datenbankebene in einem anderen Mandanten zu konfigurieren, indem der Verbundclient-ID-Parameter eingebunden wird. Weitere Informationen finden Sie unter Identitäts- und Schlüsselverwaltung für TDE mit kundenseitig verwalteten Schlüsseln auf Datenbankebene.

Wichtig

Nachdem die Datenbank erstellt oder wiederhergestellt wurde, zeigt das Menü Transparent Data Encryption im Azure-Portal die neue Datenbank mit den gleichen Einstellungen wie die Quelldatenbank an, aber möglicherweise fehlen Schlüssel. In allen Fällen, in denen eine neue Datenbank aus einer Quelldatenbank erstellt wird, kann die Anzahl der Schlüssel, die für eine Zieldatenbank im Azure-Portal in der Liste zusätzliche Datenbankschlüssel angezeigt werden, kleiner als die Anzahl der für eine Quelldatenbank angezeigten Schlüssel sein. Dies liegt daran, dass die Anzahl der angezeigten Schlüssel von den Anforderungen einzelner Features abhängt, die zum Erstellen einer Zieldatenbank verwendet werden. Verwenden Sie zum Auflisten aller verfügbaren Schlüssel für eine neu erstellte Datenbank die verfügbaren APIs unter Anzeigen der Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene für eine Azure SQL-Datenbank.

Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene als sekundäre Datenbank oder Kopie

Verwenden Sie die folgenden Anweisungen oder Befehle, um ein sekundäres Replikat oder ein Kopierziel einer Azure SQL-Datenbank-Instanz zu erstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Eine benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Portal

Erstellen einer Datenbankkopie mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Führen Sie die folgenden Schritte aus, um eine Datenbank in Azure SQL-Datenbank als Kopie mit kundenseitig verwalteten Schlüsseln auf Datenbankebene zu erstellen:

1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Rufen Sie die Registerkarte Transparente Datenverschlüsselung des Menüs Datenverschlüsselung auf und überprüfen Sie die Liste der aktuellen Schlüssel, die von der Datenbank verwendet werden.

   

2. Erstellen Sie eine Kopie der Datenbank, indem Sie im Menü Übersicht der Datenbank Kopieren auswählen.

   

3. Das Menü SQL-Datenbank erstellen – Datenbank kopieren wird angezeigt. Verwenden Sie einen anderen Server für diese Datenbank, aber dieselben Einstellungen wie die Datenbank, die Sie kopieren möchten. Wählen Sie im Abschnitt Transparente Datenverschlüsselung - Schlüsselverwaltung die Option Transparente Datenverschlüsselung konfigurieren aus.

   

4. Wenn das Menü Transparente Datenverschlüsselung angezeigt wird, überprüfen Sie die CMK-Einstellungen für diese Kopierdatenbank. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der Quelldatenbank verwendet werden.

5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Erstellen eines sekundären Replikats mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Greifen Sie auf das Menü Transparente Datenverschlüsselung zu und überprüfen Sie die Liste der aktuellen Schlüssel, die von der Datenbank verwendet werden.

   

2. Wählen Sie unter den Einstellungen für die Datenbank DatenverwaltungReplikate aus. Wählen Sie Replikat erstellen aus, um ein sekundäres Replikat der Datenbank zu erstellen.

   

3. Das Menü Erstellen einer SQL Datenbank - Geo Replica wird angezeigt: Verwenden Sie einen sekundärer Server für diese Datenbank, aber dieselben Einstellungen wie für die Datenbank, die Sie replizieren möchten. Wählen Sie im Abschnitt Transparente Datenverschlüsselung - Schlüsselverwaltung die Option Transparente Datenverschlüsselung konfigurieren.

   

4. Wenn das Menü Transparente Datenverschlüsselung angezeigt wird, überprüfen Sie die CMK-Einstellungen für dieses Datenbankreplikat. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der primären Datenbank verwendet werden.

5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Azure-Befehlszeilenschnittstelle

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

• Füllen Sie die Liste der aktuellen Schlüssel, die von der primären Datenbank verwendet werden, mithilfe des Parameters „expand-keys“ mit „current“ als „keys-filter“ aus.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als sekundäre Datenbank, und stellen Sie die vorab mit Daten aufgefüllte Liste der Schlüssel, die aus der Quelldatenbank abgerufen wurden, und die oben genannte Identität (sowie die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) bereit.

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Wichtig

  $keys ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die aus der Quelldatenbank abgerufen werden.

• Um eine Kopie der Datenbank zu erstellen, kann „az sql db copy“ mit denselben Parametern verwendet werden.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

PowerShell

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell). Spezifische Cmdlets finden Sie unter AzureRM.Sql.

• Füllen Sie die Liste der aktuellen von der primären Datenbank verwendeten Schlüssel mit dem Befehl Get-AzSqlDatabase und den -ExpandKeyList- und -KeysFilter "current"-Parametern vorab mit Daten auf. Schließen Sie -KeysFilter aus, wenn Sie alle Schlüssel abrufen möchten.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als sekundäre Datenbank mit dem Befehl New-AzSqlDatabaseSecondary, und geben Sie die vorab mit Daten aufgefüllte Liste von Schlüsseln, die Sie aus der Quelldatenbank abgerufen haben, und die oben genannte Identität (sowie die Verbundclient-ID, wenn Sie mandantenübergreifenden Zugriff konfigurieren) im API-Aufruf mit den Parametern -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (und -FederatedClientId, wenn erforderlich) an.

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Um eine Kopie der Datenbank zu erstellen, kann New-AzSqlDatabaseCopy mit denselben Parametern verwendet werden.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

ARM-Vorlage

Hier sehen Sie ein Beispiel für eine ARM-Vorlage, die ein sekundäres Replikat und eine Kopie einer Azure SQL-Datenbank-Instanz erstellt, die mit einer benutzerseitig zugewiesenen verwalteten Identität und kundenseitig verwalteter TDE auf Datenbankebene konfiguriert ist.

Weitere Informationen und ARM-Vorlagen finden Sie unter Azure Resource Manager-Vorlagen für Azure SQL-Datenbank und verwaltete SQL-Instanzen.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

• Füllen Sie die Liste der aktuellen Schlüssel, die von der primären Datenbank verwendet werden, mit der folgenden REST-API-Anforderung vorab mit Daten auf:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als sekundäre Datenbank, und stellen Sie die vorab mit Daten aufgefüllte Liste der Schlüssel, die aus der Quelldatenbank abgerufen wurden, und die oben genannte Identität (sowie die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) in der ARM-Vorlage als keys_to_add-Parameter bereit.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Dies ist ein Beispiel für den encryption_protector- und keys_to_add-Parameter:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Um eine Kopie der Datenbank zu erstellen, kann die folgende Vorlage mit den gleichen Parametern verwendet werden.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Wiederherstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

In diesem Abschnitt werden die Schritte zum Wiederherstellen einer Azure SQL-Datenbank-Instanz beschrieben, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Eine benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Point-in-Time-Wiederherstellung

Im folgenden Abschnitt wird beschrieben, wie Sie eine Datenbank zu einem bestimmten Zeitpunkt wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

Portal

1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist, die Sie wiederherstellen möchten.

2. Wenn Sie die Datenbank zu einem Zeitpunkt wiederherstellen möchten, wählen Sie im Menü Übersicht der Datenbank Wiederherstellen aus.

   

3. Das Menü SQL-Datenbank erstellen – Datenbank wiederherstellen wird angezeigt. Geben Sie die erforderlichen Quell- und Datenbankdetails ein. Wählen Sie im Abschnitt Transparente Datenverschlüsselung - Schlüsselverwaltung die Option Transparente Datenverschlüsselung konfigurieren.

   

4. Wenn das Menü Transparente Datenverschlüsselung angezeigt wird, überprüfen Sie die CMK-Einstellungen für die Datenbank. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der Datenbank verwendet werden, die Sie wiederherstellen möchten.

5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Azure-Befehlszeilenschnittstelle

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

• Füllen Sie die Liste der Schlüssel, die von der primären Datenbank verwendet werden, unter Verwendung des expand-keys-Parameters mit Ihrem Wiederherstellungszeitpunkt als keys-filter vorab auf.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als Wiederherstellungsziel, und stellen Sie die vorab mit Daten aufgefüllte Liste der Schlüssel, die aus der Quelldatenbank abgerufen wurden, und die oben genannte Identität (sowie die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) bereit.

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Wichtig

  $keys ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die aus der Quelldatenbank abgerufen werden.

PowerShell

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell). Spezifische Cmdlets finden Sie unter AzureRM.Sql.

• Füllen Sie die Liste der von der primären Datenbank verwendeten Schlüssel mit dem Befehl Get-AzSqlDatabase und den -ExpandKeyList- und -KeysFilter "2023-01-01"-Parametern vorab mit Daten auf (2023-01-01 ist ein Beispiel für den Zeitpunkt, an dem Sie die Datenbank wiederherstellen möchten). Schließen Sie -KeysFilter aus, wenn Sie alle Schlüssel abrufen möchten.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Verwenden Sie den Befehl Restore-AzSqlDatabase mit dem Parameter -FromPointInTimeBackup, und geben Sie im API-Aufruf mit den Parametern -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (und ggf. -FederatedClientId) die vorab mit Daten aufgefüllte Liste der Schlüssel an, die Sie in den oben genannten Schritten abgerufen haben, sowie die oben genannte Identität (und die Verbundclient-ID, wenn Sie mandantenübergreifenden Zugriff konfigurieren).

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Wiederherstellen einer gelöschten Datenbank

Im folgenden Abschnitt wird beschrieben, wie Sie eine gelöschte Datenbank wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert wurde. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

Portal

1. Wechseln Sie zum Azure-Portal, und navigieren Sie zum logischen Server für die gelöschte Datenbank, die Sie wiederherstellen möchten. Wählen Sie unter Datenverwaltung die Option Gelöschte Datenbanken aus.

   

2. Wählen Sie die gelöschte Datenbank aus, die Sie wiederherstellen möchten.

3. Das Menü SQL-Datenbank erstellen – Datenbank wiederherstellen wird angezeigt. Geben Sie die erforderlichen Quell- und Datenbankdetails ein. Wählen Sie im Abschnitt Transparente Datenverschlüsselung - Schlüsselverwaltung die Option Transparente Datenverschlüsselung konfigurieren.

   

4. Wenn das Menü Transparente Datenverschlüsselung angezeigt wird, konfigurieren Sie den Abschnitt Vom Benutzer zugewiesene verwaltete Identität, Vom Kunden verwalteter Schlüssel und Zusätzliche Datenbankschlüssel für Ihre Datenbank.

5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Azure-Befehlszeilenschnittstelle

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

• Füllen Sie die Liste der von der gelöschten Datenbank verwendeten Schlüssel mithilfe des expand-keys-Parameters vorab mit Daten auf. Es wird empfohlen, alle Schlüssel zu übergeben, die die Quelldatenbank verwendet hat. Sie können auch versuchen, eine Wiederherstellung mit den zum Zeitpunkt des Löschvorgangs bereitgestellten Schlüsseln mithilfe des keys-filter-Parameters durchzuführen.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Wichtig

  restorable-dropped-database-id kann abgerufen werden, indem alle wiederherstellbaren gelöschten Datenbanken auf dem Server aufgelistet werden und weist das Format databaseName,deletedTimestamp auf.

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als Wiederherstellungsziel, und stellen Sie die vorab mit Daten aufgefüllte Liste der Schlüssel, die aus der gelöschten Quelldatenbank abgerufen wurden, und die oben genannte Identität (sowie die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) bereit.

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Wichtig

  $keys ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die aus der Quelldatenbank abgerufen werden.

PowerShell

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell). Spezifische Cmdlets finden Sie unter AzureRM.Sql.

• Füllen Sie die Liste der von der primären Datenbank verwendeten Schlüssel mit dem Befehl Get-AzSqlDeletedDatabaseBackup und dem -ExpandKeyList-Parameter vorab mit Daten auf. Es wird empfohlen, alle Schlüssel zu übergeben, die die Quelldatenbank verwendet hat. Sie können auch versuchen, eine Wiederherstellung mit den zum Zeitpunkt des Löschvorgangs bereitgestellten Schlüsseln mithilfe des -KeysFilter-Parameters durchzuführen.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Wichtig

  DatabaseId kann abgerufen werden, indem alle wiederherstellbaren gelöschten Datenbanken auf dem Server aufgelistet werden und weist das Format databaseName,deletedTimestamp auf.

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Verwenden Sie den Befehl Restore-AzSqlDatabase mit dem Parameter -FromDeletedDatabaseBackup, und geben Sie im API-Aufruf mit den Parametern -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (und ggf. -FederatedClientId) die vorab mit Daten aufgefüllte Liste der Schlüssel an, die Sie in den oben genannten Schritten abgerufen haben, sowie die oben genannte Identität (und die Verbundclient-ID, wenn Sie mandantenübergreifenden Zugriff konfigurieren).

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Geowiederherstellung

Im folgenden Abschnitt wird beschrieben, wie Sie eine georeplizierte Sicherung einer Datenbank wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

Portal

1. Wechseln Sie zum Azure-Portal, und navigieren Sie zum logischen Server, auf dem Sie die Datenbank wiederherstellen möchten.

2. Wählen Sie im Menü ÜbersichtDatenbank erstellen aus.

3. Das Menü SQL-Datenbank erstellen wird geöffnet. Füllen Sie die Registerkarten Basic und Netzwerk für Ihre neue Datenbank aus. Wählen Sie unter Zusätzliche Einstellungen die Option Sicherung für den Abschnitt Vorhandene Daten verwenden und dann eine geo-replizierte Sicherung aus.

   

4. Wechseln Sie zur Registerkarte Sicherheit. Wählen Sie im Abschnitt Transparente Datenverschlüsselungsschlüsselverwaltung die Option Transparente Datenverschlüsselung konfigurieren aus.

5. Wenn das Menü Transparent Data Encryption angezeigt wird, wählen Sie Kundenseitig verwalteter Schlüssel (CMK) auf Datenbankebene aus. Die benutzerseitig zugewiesene verwaltete Identität, der vom Kunden verwaltete Schlüssel und die zusätzlichen Datenbankschlüssel müssen mit der Quelldatenbank übereinstimmen, die Sie wiederherstellen möchten. Stellen Sie sicher, dass die benutzerseitig zugewiesene verwaltete Identität Zugriff auf den Schlüsseltresor hat, der den kundenseitig verwalteten Schlüssel enthält, der in der Sicherung verwendet wurde.

6. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und schließlich Erstellen, um die Sicherungsdatenbank zu erstellen.

Azure-Befehlszeilenschnittstelle

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

• Füllen Sie die Liste der Schlüssel vorab mit Daten auf, die von der Geosicherung der Datenbank verwendet werden, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist, indem Sie den expand-keys-Parameter verwenden.

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Erstellen Sie eine neue Datenbank als Geowiederherstellungsziel, und stellen Sie die vorab mit Daten aufgefüllte Liste der Schlüssel, die aus der gelöschten Quelldatenbank abgerufen wurden, und die oben genannte Identität (sowie die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) bereit.

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Wichtig

  $keys ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die aus der Quelldatenbank abgerufen werden.

PowerShell

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell). Spezifische Cmdlets finden Sie unter AzureRM.Sql.

• Füllen Sie die Liste der Schlüssel, die von der primären Datenbank verwendet werden, mit dem Befehl Get-AzSqlDatabaseGeoBackup und -ExpandKeyList zum Abrufen aller Schlüssel vorab mit Daten auf.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Wichtig

  DatabaseId kann abgerufen werden, indem alle wiederherstellbaren gelöschten Datenbanken auf dem Server aufgelistet werden und weist das Format databaseName,deletedTimestamp auf.

• Wählen Sie die benutzerseitig zugewiesene verwaltete Identität (und die Verbundclient-ID beim Konfigurieren von mandantenübergreifendem Zugriff) aus.

• Verwenden Sie den Befehl Restore-AzSqlDatabase mit dem Parameter -FromGeoBackup, und geben Sie im API-Aufruf mit den Parametern -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (und ggf. -FederatedClientId) die vorab mit Daten aufgefüllte Liste der Schlüssel an, die Sie in den oben genannten Schritten abgerufen haben, sowie die oben genannte Identität (und die Verbundclient-ID, wenn Sie mandantenübergreifenden Zugriff konfigurieren).

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Wichtig

Sicherungen zur Langzeitaufbewahrung (Long Term Backup Retention, LTR) enthalten nicht die Liste der Schlüssel, die von der Sicherung verwendet werden. Zum Wiederherstellen einer LTR-Sicherung müssen alle Schlüssel, die von der Quelldatenbank verwendet wurden, an das LTR-Wiederherstellungsziel übergeben werden.

Hinweis

Die ARM-Vorlage, die im Abschnitt Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene als sekundäre Datenbank oder Kopie beschrieben wird, kann zum Wiederherstellen der Datenbank mit einer ARM-Vorlage verwendet werden, indem der createMode-Parameter geändert wird.

Automatische Schlüsselrotationsoption für kopierte oder wiederhergestellte Datenbanken

Neu kopierte oder wiederhergestellte Datenbanken können so konfiguriert werden, dass der kundenseitig verwaltete Schlüssel, der für die transparente Datenverschlüsselung verwendet wird, automatisch rotiert wird. Informationen zum Aktivieren der automatischen Schlüsselrotation im Azure-Portal oder mithilfe von APIs finden Sie unter Automatische Schlüsselrotation auf Datenbankebene.

Nächste Schritte

Lesen Sie die folgende Dokumentation zu verschiedenen CMK-Vorgängen auf Datenbankebene:

• Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

• Identitäts- und Schlüsselverwaltung für TDE mit kundenseitig verwalteten Schlüsseln auf Datenbankebene